毛豆拦截WannaCry成功,360你个事后诸葛亮, 切
本帖最后由 qqsunan 于 2017-5-15 23:15 编辑详情
http://v.youku.com/v_show/id_XMjc2MzcyMTkwNA
自动入沙盒了
http://player.youku.com/player.php/sid/XMjc2MzcyMTkwNA==/v.swf
相关
http://bbs.kafan.cn/thread-2089134-1-1.html
[技术原创] WanaCrypt0r勒索病毒:20款杀软主防测试【关于HMPA有新情况】
测试结果:
防御成功的(会留下一些无害衍生物):
BitDefender Free(20161212):一声不吭就杀掉了,
Kaspersky Internet Security(20161212):被加密了一些后,主防杀,成功回滚
F-Secure Client Security(20161212):主防杀
Dr. Web Anti-Virus(20161212):启发杀,非常神奇(http://bbs.kafan.cn/thread-2088985-1-1.html的变种也能启发杀)
Cybereason RansomFree(20161231,v2.1.1.0):成功拦截
Emsisoft Internet Security(20170104):**IPS杀,Emsisoft与其他杀软相比HIPS性质较强,需要更多人工参与,因此不作并列。
SandBoxie(v5.12):预期之内,即使是旧版本的沙盘,依旧不会被穿
在部分场景能够防御的:
HitManPro.Alert(3.6.1 Build 574):如果只在桌面放置供加密的文档、照片等勒索目标,则HMPA无反应;但是如果同时在我的文档中也放置个人文件,则HMPA可以成功防御
检测到非法行为但拦截失败/后知后觉的:
Trend Micro(20161212)
GDATA(20161212)
这个都有弹窗,但是即使点block,文件都已经被加密
防御失败的(无反应被加密):
360杀毒+360卫士(20161212)
360 Total Security(20161212)
火绒(20161212)
费尔(20161212)
AVAST Internet Security(20170127,旧版)
AVAST Internet Security(20170210,IDP融合后的版本)
AVG Free(20161212)
McAfee Endpoint Security(20161220)
Symantec Endpoint Protection(20161212)
AVIRA Free(20161212)
ESET Internet Security(20161219)
总结:
之前看到有人说,国外这些杀软大厂技术先进,可能领先几个月之多。
当时我不太相信,不过现在只能说,大写的服~
无论从哪个测试看,无疑卡巴和BD都是现在杀软大军中的超一流,这再次得到了验证。
这也再次证明了主防的必要性。
用5个月前的毒库和行为库斩杀了5个月后流行的病毒,事实胜于雄辩。
(可惜了我的AVG……不给力啊)
(ps:如果让exe入沙运行,AVG的IDP是会有弹窗拦截的,算是个小惊喜ww)
(pps:本次测试娱乐成分居多,结果仅供参考~)
关于Wannacry,说几句没用的屁话!https://www.sohu.com/a/140363205_487491
关于Wannacry,说几句没用的屁话!
2017-05-13 20:15
朋友圈的一些内容基本删了,之所以删了是觉得马后炮价值不大,朋友圈的很多中招的图不建议去传播,因为确实无从考究毕竟现在PS大神太多,我这种三流的PS功底也一样能PS出来一堆,有些人觉得闹着玩,但是传播出来对社会影响还是很不好的,我觉得我这篇文章写出来容易被人骂,所以我在标题上索性加上“没用的屁话”,希望骂我的能少一些。
关于Wannacry,我觉得有一些“姿势”还是要说明一下。
1、漏洞产生
勒索软件是通过445端口并利用SMB服务漏洞而进行的攻击,基本确定是基于此前“Shadow Brokers”披露多款涉及Windows SMB服务漏洞而产生的勒索攻击,对应微软的漏洞公告是MS17-010;
2、漏洞命名
更正很多媒体和一些“安全圈”朋友的病毒命名,这个漏洞的名字是“Wannacry”,不建议叫他比特币病毒,至于一些媒体提及的这是“首例”大规模的比特币敲诈病毒,建议还是负责任一些,如果感兴趣可以了解一下15年爆发的“CTB-Locker”,来自俄罗斯黑客;
3、应急处理
未中毒用户
大部分的建议都是关闭445及关联的135、137、138、139端口的外部网络访问权限;微软其实对此在3月中旬就已经出了补丁,家用电脑打补丁即可(360和电脑管家都推出了先关的补丁),值得注意的是,打开电脑第一件事儿是先断网,关闭端口后再恢复网络打补丁;
已中毒用户
目前基本没看到哪个发出来特别靠谱的解决方案,建议暂时不要乱折腾,如果有重要数据那么就找个闲置存储设备,备份一下被加密的文件,直接重新装个系统,土豪用户有重要数据,就直接换硬盘吧;
如果是使用WIN的云服务器,那么看看是否有快照,直接恢复快照然后打补丁最靠谱,避免因为遭受病毒攻击,业务持续无法恢复,导致时间推移产生更多的损失;
4、受感染设备范围
影响微软全系列系统,Vista、XP、Win7、Win8.1、Win10、Server 2003、Server 2008、Server 2012、Server 2016几乎无一幸免,由于很多早期的终端机其实内置的都是WIN7 或者XP系统,除了电脑主机、服务器被感染外,一些机场取票机、电影院取票机、银行排号机、实验室控制演示终端、机场/高速公路/商场广告屏、医院/教育民众服务终端,这些都有可能因为使用了WIN7/XP系统导致躺枪或存在躺枪风险;
5、苹果真的没事儿吗?
除了iCloud账户泄露,Mac / iPhone 被锁死,其实苹果在去年3月份也一样遭遇过通过加密电脑文件,使用比特币作为赎金的勒索攻击,感兴趣的可以看一下“KeRanger”
6、几种病毒的区别?
CTB-Locker主要是通过邮件附件进行定向传播,主要针对国内一些商务/白领进行定向攻击,不小心触发的话,结果和现在的Wannacry差不多,都是对电脑中的文件进行加密然后勒索,CTB-Locker的加密数量大概是114种文件,要求中毒者在96小时内支付8比特币;
Wannacry利用的是主机的445端口,这个相比CTB-Locker要高级很多,算是可以理解为“指哪打哪”的一个病毒,被扫到445端口又没打补丁基本没跑,但是中毒后结果一样,对电脑上所有的可执行文件进行加密,命名后缀为“WNCRY”,同样要求用比特币当赎金,有医院被爆出要300比特币;
KeRanger是针对于Mac OX进行攻击的勒索软件,其传播途径是通过感染下载工具Transmission,获取其合法签名然后再进行感染和加密的,勒索价格是1比特币;
有媒体人也提及了熊猫烧香,可能由于这个漏洞当年也算名声在外吧,虽然是蠕虫病毒,但是熊猫烧香和上面的几个病毒有着很大的不同:
熊猫烧香不是一个勒索软件,只是一个恶意蠕虫病毒;
熊猫烧香只会对EXE图标进行替换,即便是变种也只是扩展了EXE以外的其它尾缀文件的感染,或者对gho文件进行删除,并没有对文件进行加密;
熊猫烧香可以感染一些HTML/ASP文件,上传到网站上访问的用户会被感染,这与上面的个蠕虫的传播途径有所区分;
7、交赎金靠谱吗?
建议不要这样干,尤其是那些不连外网却又通过U盘感染蠕虫躺枪的设备,解密是外网的,你给了也没用,一堆人盯着勒索服务器,有关部门肯定不会让其优雅的联网。。。。
8、容易抓到作者吗?
作者为了隐藏自己,所以支付赎金要在Tor中进行联络,由于Tor网络是随机匿名并且加密传输的,再加上比特币也是完全匿名,所以对敲诈者起到了一定的保护作用,以前规模不大的时候确实不是特别容易定位到人,侦破是有很高的难度,但是这次影响巨大,动用的资源和人力不同,还真的不好说,不过应该不是短时间能解决的问题;
9、勒索软件作者赚到钱了吗?
从其提供的勒索地址,目测是没有赚到多少钱,而这里的付费用户肯定中国用户是占极少数的,毕竟Tor是做了限制无法正常访问的,比特币也因为某种原因在严管,无论是买比特币还是上Tor网络都有门槛的;
总结一下
虽然作者精心的准备了N国语言,用于解释自己的勒索的文案也**的一逼,尤其是那句“对半年以上没钱付款的穷人,会有活动免费恢复,能否轮到你,就要看您的运气怎么样了。”真是太流畅了。
但是很可惜,毕竟勒索的赎金方式还是太复杂了,还有要价太高,超出规模化生产应该让利经营的理念,所以这是一次失败的创业行为!
看到几家媒体把病毒名写做“比特币病毒”,还有某些平台把去年的“CTB-Locker”丢出来报,内心疙瘩疙瘩的。
至于一个样本都没拿到,分析都没分析,倒是大肆应急响应的团队??
反正我人长的丑、技术又差,你们怎么喷我,我都忍着啊。。。
出门好好吃顿饭,再喝点小酒,反正目前来看即便是努力了也没结果,何必和自己过不去呢?
声明:本文由入驻搜狐公众平台的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。
关于防范ONION勒索软件病毒攻击的紧急通知
http://www.ndedu.gov.cn/html/xwz ... 9-cd56c28c0817.html
关于防范ONION勒索软件病毒攻击的紧急通知
作者:暂无信息来源: 暂无 发布日期: 2017-05-14浏览次数:0
一、紧急安全预警通报
5月12日晚20点左右,国内部分高校学生反映电脑被病毒攻击,文档被加密,攻击者称需支付比特币解锁。
攻击者利用Windows系统默认开放的445端口在高校校园网内进行传播,不需要用户进行任何操作即可进行感染。
感染后设备上的所有文件都将会被加密,一旦被加密即使支付也不一定能够获得解密密码。
据悉,“勒索”病毒是全国性的,疑似通过校园网传播,十分迅速。
请全市各级教育主管部门及各级各类学校高度重视,严加防范。请学校网络安全负责人及相关技术人员立刻关闭445端口并尽快升级系统补丁,做好防护措施。
二、漏洞信息
这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。
三、处置建议
(一)确认影响范围
扫描内网,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS07-010补丁,如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁,只要开启SMB服务就受影响。
(二)应急处置方法
1.网络层面
目前利用漏洞进行攻击传播的蠕虫开始泛滥,建议网络管理员在网络边界的防火墙上阻断445端口的访问,如果边界上有IPS和360天堤智慧防火墙之类的设备,请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断,直到确认网内的电脑已经安装了MS07-010补丁或关闭了Server服务。
2.终端层面
暂时关闭Server服务。
检查系统是否开启Server服务:
(1)打开 开始 按钮,点击 运行,输入cmd,点击确定
(2)输入命令:netstat -an 回车
(3)查看结果中是否还有445端口
如果发现445端口开放,需要关闭Server服务,以Win7系统为例,操作步骤如下:
点击 开始 按钮,在搜索框中输入 cmd ,右键点击菜单上面出现的cmd图标,选择 以管理员身份运行 ,在出来的 cmd 窗口中执行 “net stop server”命令,会话如下图:
(三)感染处理
对于已经感染勒索蠕虫的机器建议隔离处置。
1.Win7、Win8、Win10的处理流程
(1)打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
(2)选择启动防火墙,并点击确定
(3)点击高级设置
(4)点击入站规则,新建规则
(5)选择端口,下一步
(6)特定本地端口,输入445,下一步
(7)选择阻止连接,下一步
(8)配置文件,全选,下一步
(9)名称,可以任意输入,完成即可。
2.XP系统的处理流程
(1)依次打开控制面板,安全中心,Windows防火墙,选择启用
(2)点击开始,运行,输入cmd,确定执行下面三条命令
netstop rdr
netstop srv
netstop netbt
(3)由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。
3.根治方法
对于Win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请立即电脑安装此补丁。网址为:
https://technet.microsoft.com/zh-ch/library/security/MS17-010
出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。
对于Windows XP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe 。这些老操作系统的机器建议加入淘汰替换队列,尽快进行升级。
四、恢复阶段
建议针对重要业务系统立即进行数据备份,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。
五、补丁下载地址
20170513微软为已停服的XP和部分服务器版发布的特别补丁下载地址
winxp特别补丁KB4012598
winxp3 32位 Security Update for Windows XP SP3 (KB4012598)
winxp2 64位 Security Update for Windows XP SP2 for x64-based Systems (KB4012598)
win2003特别补丁KB4012598
2003SP2 32位 Security Update for Windows Server 2003 (KB4012598)
2003SP2 64位 Security Update for Windows Server 2003 for x64-based Systems (KB4012598)
win2008R2补丁 KB4012212、KB4012215
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212)
March, 2017 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-basedSystems (KB4012215)
win7补丁 KB4012212、KB4012215
win7 32位
March, 2017 Security Only Quality Update for Windows 7 (KB4012212)
March, 2017 Security Monthly Quality Rollup for Windows 7 (KB4012215)
win7 64位
March, 2017 Security Only Quality Update for Windows 7 for x64-based Systems (KB4012212)
March, 2017 Security Monthly Quality Rollup for Windows 7 for x64-based Systems (KB4012215)
win10 1607补丁 KB4013429
win10 1607 32位
Cumulative Update for Windows 10 Version 1607 (KB4013429)
win10 1607 64位
Cumulative Update for Windows 10 Version 1607 for x64-based Systems (KB4013429)
win2012R2补丁 KB4012213、KB4012216
March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213)
March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216)
win2016补丁 KB4013429
Cumulative Update for Windows Server 2016 for x64-based Systems (KB4013429)
建议仍在使用windows xp, windows 2003操作系统的用户尽快升级到 window 7/windows 10,或 windows 2008/2012/2016操作系统。
http://dacota.tw/blog/post/34693995-%E8%AB%8B%E5%8B%99%E5%BF%85%E6%9B%B4%E6%96%B0-kb4012215-!-wanacrypt0r-2.0-%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E6%94%BB
請務必更新 KB4012215 ! WanaCrypt0r 2.0 勒索病毒攻擊 hot article today
略
--------------------------------------------------------------------------------------------------
漏洞检测
EternalBlueDetector.zip
https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html
v1.07
https://m载点ega.nz/#!7Upx3ZaS!vUxKXP9I5uYETZp2HoswrS61RRH7sw3saPiFnGord-k
備用載點:
https://www.m载点ediafire.com/?za4wl8cbqaoyy3l
執行前請確認檔案有無被偷改過
v1.07 File Info
Executable File SHA1: 6ADAABF9B3CBA780B90CAE3AEE411F27EB0E22A4
Executable File Size: 9,248,982 Bytes
Windows 7 x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu
Windows 7 x32
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x86_aaf785b1697982cfdbe4a39c1aabd727d510c6a7.msu
---------------------------------------------
Windows 8.1 x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu
Windows 8.1 x32
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu
---------------------
winxp3 32位 Security Update for Windows XP SP3 (KB4012598)
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe
其他旧版本vista xpe 2k3 2k8 等
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
--------------------------------------------------------------------------------------------------
总结
补丁+主防+沙箱 OK
我装了win10+AVAST高级版,不知道防不防得住 看不懂啊 ESET没用啊 这次这事出来后立即更新了系统补丁,现在应该没啥问题了..... 不知道eset的新病毒库能不能防。 好歹给我拼对comodo啊
再说CIS一套下来从防火墙到无脑入沙防不住才有鬼了 卡巴忠实粉丝 买了ESET 3套的哭晕在厕所
—— 来自 Sony E6683, Android 7.0上的 S1Next-鹅版 我只有wun10自带的mse……233
----发送自 Xiaomi MI 5s Plus,Android 6.0.1 leen-s1 发表于 2017-5-15 20:17
一直以来都是windows最新版+WindowsDefender+及时打补丁,不用别的杀毒软件,请问有多大风险? ...
windows defender一般病毒还行,防勒索嘛与一线比有很大进步空间
还好我给爸妈的电脑上都是装的卡巴斯基,我自己用Linux,感觉一点都不虚
— from LGE Nexus 5X, Android 7.1.2 of S1 Next Goose UncleCat 发表于 2017-5-15 20:24
还好我给爸妈的电脑上都是装的卡巴斯基,我自己用Linux,感觉一点都不虚
— from LGE Nexus 5X, Android 7 ...
游戏怎么办?开虚拟机让虚拟机中毒? 简体中文 发表于 2017-5-15 19:45
360不输火绒,达到了与avg小红伞eset同样水准
还与赛门铁克公司持平,仅次于趋势科技 BDF都能防了吗。还想着要不要买个BDIS,价格和诺顿一样。 看来下次要把nod换成卡巴斯基了…以前就是怕卡吧死机才用的nod,但比起资料全锁还是宁愿卡点好啊… 本帖最后由 eulereld 于 2017-5-15 21:04 编辑
桌電和辦公室用的卡巴,筆電的AVIRA Free,筆電比桌電更常用,換一個BD好了⋯⋯不過沒聽過BD呢 Norton没法杀吗?看来要换BDTS了 bd这几年对勒索软件防范不错的,潭友要是害怕可以装一个 sowhatah 发表于 2017-5-15 20:44
看来下次要把nod换成卡巴斯基了…以前就是怕卡吧死机才用的nod,但比起资料全锁还是宁愿卡点好啊… ...
都2017年了怎么老有人觉得老司机卡,现在老司机流畅得一比,早就脱胎换骨了 暗影翔 发表于 2017-5-15 19:47
不知道eset的新病毒库能不能防。
三月份微软补丁公布后这些应该都没问题了,不过说起来用正牌杀软的怎么可能手贱关更新不装补丁 果然还是卡死机和蜘蛛好用啊 火绒好像得打开主防才行,但是不会设置规则。。
—— 来自 Jiayu S3, Android 7.1.1上的 S1Next-鹅版 为什么我看到的测试结果和这个不一样 看了下Cybereason RansomFree
好像作为mse的补充防勒索病毒不错? 本帖最后由 virusking 于 2017-5-15 21:32 编辑
leen-s1 发表于 2017-5-15 20:17
一直以来都是windows最新版+WindowsDefender+及时打补丁,不用别的杀毒软件,请问有多大风险? ...
装补丁还好,指望WindowsDefender你还不如指望360这玩意。自己之前拿过几个样本木马测试过,这货是死的最透,而且最安静的(这个很关键,别的杀软被干趴了你好歹知道中了病毒)。
本质就是给你个心理安慰,基于这几年基础安全常识普及开了外加更多作者们现在都是用劫持等方式赚钱不太搞大新闻(毕竟要被抓),看起来问题不大吹的人就多了。 用Mse 路过 wannacry直接攻击业务数据,比瘫痪电脑什么的恶意多了。 我用的avg和eset没一个行的啊 所以,有结论吗?到底哪个好? 看完就去买了个卡巴斯基 比亚迪汽车 发表于 2017-5-15 21:43
有还是有点用的,之前不知道公司哪个人电脑上有毒,感染了U盘,插我电脑上就直接报警了··· ...
你真觉得这种程度的有哪个查不出来吗,或者说就算不用杀毒软件,这种Autorun.inf级别的有几个看不出来 现在大蜘蛛3年只要24,舍不得?